Drei Google-Mitarbeiter haben eine schwere Sicherheitslücke im Netzprotokoll SSL 3.0 entdeckt. Die Technik wird verwendet, um die Datenübertragung zwischen dem Browser und der Seite, die man aufruft, zu verschlüsseln. So verhindert SSL etwa, dass ein eingegebenes Passwort von fremden Personen mitgelesen werden kann. Durch die Schwachstelle ist es Angreifern möglich, private Informationen wie das E-Mail-Kennwort oder die Online-Banking-Daten unverschlüsselt im Klartext mitzulesen. Die Sicherheitslücke wurde von den drei Entdeckern Bodo Möller, Thai Duang und Krzysztof Kotowicz "Poodle" getauft - eine Abkürzung für Padding Oracle On Downgraded Legacy Encryption.
SSL 3.0 ist ein uraltes Protokoll, das vor 15 Jahren von Netscape entwickelt wurde. Seit 1999 gibt es mit TLS bereits eine neuere, sicherere Technik. Verbindungen mit der alten SSL-Version sind dementsprechend selten. Doch eine Besonderheit macht die Schwachstelle gefährlich: Fast alle aktuellen Browser - darunter Firefox, der Internet Explorer und Chrome - wechseln bei fehlgeschlagenen TLS-Verbindungen auf das alte SSL-Protokoll.
Das müssen Sie jetzt tun
Generell sollte ein möglichst aktueller Browser verwendet werden. Zudem sollten Sie die Unterstützung von SSL 3.0 deaktivieren. Nutzer des Internet Explorers müssen in den Browser-Einstellungen den Punkt "Internetoptionen" auswählen, dann "Erweitert". In der aufpoppenden Liste wählen Sie den Reiter "Sicherheit", dort entfernen Sie das Häkchen bei SSL 3.0. Chrome-Nutzer können dieser englischsprachigen Anleitung folgen.
Mozilla, die Firma hinter dem populären Firefox-Browser, hat im firmeneigenen Blog angekündigt, im kommenden Firefox 34 SSL 3.0 abzuschalten. Der neue Browser erscheint am 25. November. Um automatisch das aktuellste Update zu installieren, wählen Sie in den Einstellungen den Punkt "Erweitert", gehen zum Reiter "Update" und aktivieren dort die automatische Installation.
Hinweis: In der ersten Version des Artikels schrieben wir, das weiterentwickelte Protokoll heißt TSL. Richtig ist TLS.
